Thema: Sind das Hackversuche?

Zwei Einträge sind mir heute aufgefallen

1:

Code:

index.php?option=com_ezautos&Itemid=49&id=1&task=helpers&firstCode=1+and+0+union+select+1,2,
concat(0x26,0x24,0x24,0x25,username,0x21,password,0x25,0x24,0x24,0x26),4,5,6,7+from+jos_users+
limit+20--

von der IP 213.171.218.117 aus England. Dies wurde von Bottrap geblockt. Der gleiche Eintrag von einer anderen englischen IP wurde nicht geblockt steht aber in der Logdatei und wurde aber mit einer 404 Meldung beantwortet. Benutzererstellung und -anmeldung im Fontend habe ich deaktiviert.

2:

Code:

/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/edit.php?type=file&folder=

Dieser Code im Logfile irritiert mich auch sehr. Dieser Zugriff kam aus Russland und wird mit einem "Restricted access" beantwortet.

Habe ich die Joomla Installation richtig gesichert, oder muss ich noch mehr tun?

Viele Grüße aus Hessen.

Hast Du die Komponene ezautos bei Dir installiert?

Hallo Sandor1990,

ich habe den ersten und zweiten Code im Browser bereits probiert zunächst lokal dann im Web. Die Ausgabe des ersten Codes ist eine 404 Meldung und NoScript meldet einen möglichen Cross-Site-Scripting Versuch.

Hallo KeraM,

nein die Komponente ezautos habe ich nicht. Ich habe nur FlowPlayer Very - Simple Image Gallery - Simple Picture Slideshow - JCE Mediabox - JCE Editor - DFContact - simplemooticker - EasyCalcCheck PLUS installiert. Alles, inklusive Joomla auf dem neuesten Stand.

Diese Hackversuche werden zu tausenden blind abgefeuert. Wenn du im Log Attacken auf eine Erweiterung siehst, die tatsächlich installiert ist, solltest du dich sofort auf die Suche machen, ob da tatsächlich eine Lücke besteht. Oft besteht aber auch da keine Gefahr, weil auch Lücken attackiert werden, die schon seit Jahren geschlossen sind. Trotzdem solltest du dabei auf Nummer sicher gehen.

Wer natürlich wie ein Wilder Erweiterungen installiert, sie dann gar nicht benutzt und ohne Updates auf dem Server läßt, sitzt auf einem Pulverfaß.

Hallo Joomla-Hilfe,

Wenn du im Log Attacken auf eine Erweiterung siehst, die tatsächlich installiert ist, solltest du dich sofort auf die Suche machen, ob da tatsächlich eine Lücke besteht

dann war der zweite Code wohl eine Attacke auf den Editor? Ich hatte schon vor der Joomla Installation viel über Plugins gelesen und nur wenige installiert, ich bin momentan am überlegen ob ich die Picture Slideschow nicht durch einfaches Java-Script ersetze, und die Videos über Youtube einbinde, von DF-Contact will ich auch weg und das Kontaktformular über Joomla laufen lassen. Dann hätte ich schon mal wieder drei Plugins weniger. Ich glaube ich mache mich am Wochenende an die Arbeit.

Vielen Dank für Eure schnellen Antworten.

Achso, jetzt sehe ich das erst, das war ein Angriff auf die Komponete ezautos

Code:

index.php?option=com_ezautos&Itemid=49&id=1&task=helpers&firstCode=1+and+0+union+select+1,2,
concat(0x26,0x24,0x24,0x25,username,0x21,password,0x25,0x24,0x24,0x26),4,5,6,7+from+jos_users+
limit+20--

Ist doch richtig, oder? Dann habe ich ja wieder was gelernt.

Ich habe Heute nochmal das Log durchforstet und eine Menge gegooglet. Leider habe ich aber gegensätzliche Antworten gefunden. Der Code

anon-90-156-196-68.ip.invalid - - [10/Feb/2011:09:54:47 +0100] "GET /plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/edit.php?type=file&folder= HTTP/1.1" 200 17 "-" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.6.30 Version/10.62"

war gestern das erste mal im Log aufgetaucht. Ich habe dann viermal versucht die Url aufzurufen, alle vier Versuche stehen im Log mit einem 404 Servercode. Dieser Eintrag steht aber mit dem Code 200 im Log. Wenn ich das richtig verstanden habe wurde der Aufruf also bearbeitet und übertragen. Muss ich jetzt befürchten das ich gehackt wurde, google gibt nämlich beides aus einige schreiben der Hack wäre eventuell gelungen, andere wieder man hätte nichts zu befürchten. Ich habe meine URL mal herausgenommen falls doch etwas ist.

Vielleicht kann mir jemand helfen.

Viele Grüße aus Hessen.

OT: Deine Frage kann ich Dir leider nicht beantworten, aber ich finde es einfach schön mal zu lesen, dass Du Dich kümmerst bevor "das Kind in den Brunnen gefallen ist. Ich habe desahalb mal ein "Danke" geklickt.